信息系统管理与安全(2)

信息安全风险基本要素

• 信息资产 增加风险
• 信息资产环境或其自身存在的脆弱性/漏洞 增加风险
• 威胁 增加风险
• 安全控制措施 降低风险
• 影响 增加风险

信息安全风险模型

信息安全风险评估模型的作用

可以建立信息安全风险各个要素之间的相互关系，据此可以分析系统内部机制中所存在的危险性因素，可以发现系统与外界环境交互过程中存在的不正常和有害行为，从而完成对系统脆弱点和安全威胁的定性分析。
可以进一步采用其他方法来进行风险建模。

风险评估准备

• 确定风险评估的目标
• 确定风险评估的范围
• 选择与组织相适应的风险判断方法
• 建立风险…

资产及其价值

资产是组织赋予了价值，且需要保护的东西

• 能以多种形式存在
• 价值和安全属性具有很强的时间特性

  资产赋值是对资产安全价值的估价

  资产的价值与如下因素有关：

• 自身的价值
• 对业务的安全重要性
• 在一定条件下的潜在价值
• 与之相关的安全保护措施

资产管理

• 根据不同的项目目标和特点，确定重要识别的资产类别
• 明确所拥有和需要保护的信息资产，确定关键资产
• 资产管理的目标是实现并保持组织资产的适当保护

  资产管理分类

  指导原则：
• 组织价值、法律要求、敏感性、关键性
• 权衡分类数量
• 按保护级别进行